Spring Security中，如何通过自定义AccessDecisionVoter实现基于业务规则的动态权限控制？ 与@PreAuthorize注解相比有何灵活性？

阿里嘎多学长整理AIGC生成，因移动端显示问题导致当前答案未能完全显示，请使用PC端查看更加详细的解答过程

问题分析

你想了解如何通过自定义 AccessDecisionVoter 来实现基于业务规则的动态权限控制，在 Spring Security 中。同时你也想知道与 @PreAuthorize 注解相比，自定义 AccessDecisionVoter 有何灵活性。

解决方案

1. 自定义 AccessDecisionVoter：

首先，我们需要创建一个自定义的 AccessDecisionVoter 类。这个类会负责判断某个请求是否有权限执行。

@Component
public class MyAccessDecisionVoter implements AccessDecisionVoter<MethodInvocation> {
    @Override
    public boolean supports(ConfigAttribute attribute) {
        return true;
    }

    @Override
    public boolean supports(Class<?> clazz) {
        return true;
    }

    @Override
    public int vote(Authentication authentication, MethodInvocation method, Object target, Object object, ConfigAttribute attribute) {
        // 这里你可以根据业务规则来进行判断
        // 如果有权限，则返回 1
        // 如果没有权限，则返回 -1
        // 如果无法判断，则返回 0
        // 例如：
        // 如果用户是管理员，则返回 1
        if (authentication.getAuthorities().stream().anyMatch(authority -> authority.getAuthority().equals("ROLE_ADMIN"))) {
            return 1;
        } else {
            return -1;
        }
    }
}

1. 配置 AccessDecisionManager：

在 Spring Security 中，我们需要配置一个 AccessDecisionManager 来管理 AccessDecisionVoter。

@Bean
public AccessDecisionManager accessDecisionManager() {
    List<AccessDecisionVoter<?>> voters = new ArrayList<>();
    voters.add(new MyAccessDecisionVoter());
    // 可以添加更多的AccessDecisionVoter
    return new UnanimousBased(voters);
}

1. 使用 @PreAuthorize 注解：

如果你使用 @PreAuthorize 注解，则需要在方法上添加 @PreAuthorize 注解，并且需要使用 @Secured 注解指定权限。

@PreAuthorize("hasAuthority('ROLE_ADMIN')")
public void doSomething() {
    // ...
}

灵活性比较：

自定义 AccessDecisionVoter 比使用 @PreAuthorize 注解灵活性更高。因为 AccessDecisionVoter 可以根据业务规则来进行判断，而 @PreAuthorize 注解则需要在方法上加上注解并且需要使用 @Secured 注解指定权限。

然而，使用 @PreAuthorize 注解则更方便，因为你只需要在方法上加上注解，而不需要创建一个自定义的 AccessDecisionVoter 类。

总结：

如果你需要根据业务规则来进行权限控制，则建议使用自定义 AccessDecisionVoter。但是，如果你的权限控制比较简单，则可以使用 @PreAuthorize 注解来实现。